L’espace de gestion des journaux et de gestion des informations de sécurité (SIEM) est passé par un certain nombre d’étapes pour arriver là où ils en sont aujourd’hui. J’ai commencé à cartographier l’espace dans les années 1980 lorsque syslog est entré dans le monde. Pour donner un sens au diagramme très chargé (ci-dessus), le haut montre la chronologie chronologique (pas en notation équidistante !), le deuxième couloir de nage en dessous appelle un jalon composants d’analyse qui étaient essentiels aux moments donnés et la dernière ligne montre quelles sources de données ont été ajoutées aux moments donnés aux systèmes de journalisation pour acquérir une visibilité et une compréhension plus approfondies. Je vous laisse digérer ça une minute.

Ce qui est intéressant, c’est que nous avons commencé le voyage avec des cas d’utilisation de la gestion des journaux qui se sont transformés en un marché entier, initialement appelé marché SIM, mais officiellement renommé en gestion des informations et des événements de sécurité (SIEM). Après cela, nous sommes entrés dans une phase où le big data est devenu un sujet brûlant et les clients ont commencé à jouer avec l’idée de créer leurs propres solutions de journalisation. Généralement pas avec les meilleurs résultats. Mais cela n’a pas empêché certains mouvements open source d’entrer sur la carte, dont la plupart sont « morts » aujourd’hui. Mais ce qui s’est passé ensuite est encore plus intéressant. L’espace entier a commencé à se diviser en plusieurs nouveaux espaces. Ce sont d’abord des produits qui s’appellent eux-mêmes analyse du comportement des utilisateurs et des entités (UEBA), puis c’était SOAR, et plus récemment c’était XDR. Qui sont tous vraiment des ramifications des SIEM. Ce qui est le plus intéressant, c’est que le marché autonome de l’UEBA est pratiquement mort, tout comme le marché SOAR. Toutes les entreprises ont soit été intégrées (acquises) dans des plates-formes SIEM existantes, soit ajoutées SIEM en tant que cas d’utilisation supplémentaire à leur propre plate-forme.

XDR a été le dernier développement et est probablement le plus étrange de tous. J’appelle BS sur l’espace. Certains fournisseurs essaient de le commercialiser en tant qu’EDR++ en ajoutant quelques données réseau. D’autres prennent essentiellement SIEM, mais le restreignent à moins de sources de données et à plus ensemble ciblé de cas d’utilisation. Bien que cela soit idéal pour les utilisateurs finaux qui cherchent à résoudre ces cas d’utilisation en leur offrant une meilleure expérience, ce n’est vraiment pas très différent de ce pour quoi les SIEM d’origine ont été conçus.

Si vous avez une minute et que vous souhaitez plonger dans les détails de l’histoire, voici une vidéo de 10 minutes où je raconte l’histoire et mets en évidence certains des domaines clés, ainsi que d’expliquer un peu plus ce que vous voyez dans la chronologie.

Si vous avez aimé la courte vidéo sur l’historique de la journalisation, assurez-vous de regarder la vidéo complète sur le sujet de « Créer de la valeur à partir des données de sécurité ». Merci à certains de mes amis de l’industrie, Anton, Rui et Lennart, qui m’ont fourni des informations sur la chronologie et m’ont aidé à combler certaines des lacunes !

Raffael Marty est un cadre technologique, un entrepreneur et un investisseur et écrit sur l’intelligence artificielle, les mégadonnées et le paysage des produits autour du marché de la cybersécurité.

Cette histoire est apparue à l’origine sur Raffy.ch. Droit d’auteur 2021